Microsoft Defender ATP
Integrationsversion: 23.0
Anwendungsfälle
Verwenden Sie die in Microsoft Defender for Endpoint erfassten Daten für die Anreicherung bei der Untersuchung eines bestimmten Falls.
Analysten können die in Microsoft Defender für Endpunkte erfassten und gespeicherten Daten für Untersuchungen verwenden, um beispielsweise Informationen zu in Microsoft Defender für Endpunkte erkannten Warnungen abzurufen oder in Microsoft Defender für Endpunkte registrierte Computer aufzulisten.
Führen Sie aktive Reaktionsmaßnahmen bei potenziellen Sicherheitsvorfällen durch, z. B. das Isolieren eines bestimmten Hosts von einem Netzwerk oder das Ausführen eines Antivirenscans.
Überwachen und prüfen Sie die Microsoft Defender for Endpoint-Warnungen als Google Security Operations-Warnungen, die vom jeweiligen Connector abgerufen werden.
Vorbereitung
Bevor Sie die Integration in der Google SecOps-Plattform konfigurieren, müssen Sie die folgenden Voraussetzungen erfüllen:
Erstellen Sie die Microsoft Entra-App.
Konfigurieren Sie die API-Berechtigungen für Ihre App.
Erstellen Sie einen Clientschlüssel.
Wir empfehlen, beim Zugriff auf die Microsoft Defender for Endpoint API den Anwendungskontext anstelle des Nutzerkontexts zu verwenden.
Microsoft Entra-App erstellen
Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.
Wählen Sie Microsoft Entra ID aus.
Rufen Sie App-Registrierungen > Neue Registrierung auf.
Geben Sie den Namen der App ein.
Klicken Sie auf Registrieren.
Speichern Sie die Werte für Anwendungs-ID (Client) und Verzeichnis-ID (Mandant), um sie später bei der Konfiguration der Integrationsparameter zu verwenden.
API-Berechtigungen konfigurieren
Rufen Sie API-Berechtigungen> Berechtigung hinzufügen> Von meiner Organisation verwendete APIs auf. Das Dialogfeld API-Berechtigungen anfordern wird geöffnet.
Geben Sie im Feld Suchen
WindowsDefenderATPein.Wählen Sie WindowsDefenderATP > Anwendungsberechtigungen aus.
Wählen Sie unter dem Berechtigungstyp Benachrichtigung die folgende Berechtigung aus:
Alert.Read.All
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf der Seite API-Berechtigungen auf Berechtigung hinzufügen.
Wählen Sie Microsoft Graph > Delegierte Berechtigungen aus.
Wählen Sie im Bereich Berechtigungen auswählen die folgende erforderliche Berechtigung aus:
User.Read
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf der Seite API-Berechtigungen auf Berechtigung hinzufügen.
Wählen Sie WindowsDefenderATP > Anwendungsberechtigungen aus.
Wählen Sie im Bereich Berechtigungen auswählen die folgenden erforderlichen Berechtigungen aus:
AdvancedQuery.Read.AllAlert.Read.AllAlert.ReadWrite.AllEvent.WriteFile.Read.AllIp.Read.AllMachine.IsolateMachine.Read.AllMachine.ReadWrite.AllMachine.ScanMachine.StopAndQuarantineTi.ReadWriteUrl.Read.AllUser.Read.All
Klicken Sie auf Einwilligung des Administrators für
ORGANIZATION_NAMEerteilen.Klicken Sie im Dialogfeld Bestätigung der Administratorzustimmung erteilen auf Ja.
Das Beispiel für eine API-Anfrage zum Abrufen der Defender ATP-Benachrichtigungen sieht so aus (beachten Sie den Parameter $expand, der zum Abrufen von Daten zu IP-Adressen, Domains und Dateien verwendet wird):
GET /api/alerts?$expand=files,ips,domains HTTP/1.1
Host: api.securitycenter.windows.com
Authorization: Bearer eyJ0eXAiOiJKV1QiLCJhbGciOiJ...
User-Agent: PostmanRuntime/7.19.0
Accept: */ *
Cache-Control: no-cache
Postman-Token: 2dc0f885-068a-45d4-81a6-2da0d23a58ad,d3dd0e6e-83ab-4d27-94d2-0f3889dff324
Host: api.securitycenter.windows.com
Accept-Encoding: gzip, deflate
Connection: keep-alive
cache-control: no-cache
Weitere Informationen zu den Anfrageparametern und Anfrageoptionen wie „filter“ oder „expand“ finden Sie in der Microsoft-Dokumentation unter Unterstützte Microsoft Defender for Endpoint-APIs.
Clientschlüssel erstellen
Rufen Sie Zertifikate und Secrets > Neuer Clientschlüssel auf.
Geben Sie eine Beschreibung für einen Clientschlüssel an und legen Sie das Ablaufdatum fest.
Klicken Sie auf Hinzufügen.
Speichern Sie den Wert des Clientschlüssels (nicht die geheime ID), um ihn als Parameterwert für
Client Secretbei der Konfiguration der Integration zu verwenden. Der Wert des Clientgeheimnisses wird nur einmal angezeigt.
SIEM-Integration aktivieren – Nicht mehr unterstützt
Wählen Sie im Navigationsbereich Einstellungen > SIEM aus.
Wählen Sie SIEM-Integration aktivieren aus.
Dadurch wird der Abschnitt mit den Zugriffsdetails für den SIEM-Connector mit vorausgefüllten Werten aktiviert und in Ihrem Azure AD-Mandanten wird eine Anwendung erstellt.
- Wählen Sie als SIEM-Typ „Generic API“ aus.
- Kopieren Sie die einzelnen Werte oder wählen Sie „Details in Datei speichern“ aus, um eine Datei mit allen Werten herunterzuladen.
- Sie benötigen die auf dieser Seite angezeigten Werte, um ein Token für den Zugriff auf die Daten zu erkannten Inhalten zu generieren: Client-ID, Clientschlüssel und Ressource.
Microsoft Defender ATP in Google SecOps einbinden
Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.
Integrationsparameter
Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:
| Parameter | |
|---|---|
Client ID |
Erforderlich Client-ID (Anwendungs-ID) der Microsoft Entra-App, die für die Integration verwendet werden soll. |
Client Secret |
Erforderlich Clientschlüsselwert der Microsoft Entra-App, die für die Integration verwendet werden soll. |
Azure Active Directory ID |
Erforderlich Wert für Microsoft Entra ID (Mandanten-ID). |
Verify SSL |
Optional Wenn diese Option ausgewählt ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft 365 Defender-Server gültig ist. Standardmäßig ausgewählt. |
API Root |
Erforderlich API-Stamm-URL, die für die Integration verwendet werden soll. Für eine bessere Leistung können Sie einen Server in Ihrer Nähe verwenden:
Der Standardwert ist |
Aktionen
Ping
Testen Sie die Verbindung zur Microsoft Defender for Endpoint-Instanz mit den Parametern, die auf der Seite für die Integrationskonfiguration angegeben sind.
Parameter
–
Anwendungsfälle
Die Aktion wird verwendet, um die Verbindung zu testen, und kann als manuelle Aktion ausgeführt werden, die nicht Teil von Playbooks ist.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Entitäten anreichern
Google SecOps-Entitäten für Host, IP-Adresse oder Dateihash basierend auf den Informationen aus Microsoft Defender for Endpoint anreichern.
Parameter
–
Anwendungsfälle
Die Aktion kann in Playbooks verwendet werden, mit denen Aktivitäten auf Geräten untersucht werden. Wenn auf dem Gerät der Microsoft Defender for Endpoint-Agent installiert ist, werden durch die Aktion Informationen aus Defender ATP auf einem Gerät abgerufen, um Google SecOps-Entitäten zu erweitern. Die Aktion kann auch verwendet werden, um die Hashwerte der Warnungsdateien mit den Informationen aus Defender ATP anzureichern.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
- Filehash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
Wenn die Anreicherung für IP-Adresse oder Host funktioniert:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines/$entity",
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-24T18:31:50.581058Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.28",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
}
]
Wenn die Anreicherung für Filehash funktioniert:
[
{
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Files/$entity",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"md5": "9512e1cc66a1d36feb0a290cab09087b",
"globalPrevalence": 5205000,
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"size": 245760,
"fileType": "APP",
"isPeFile": true,
"filePublisher": "Microsoft Corporation",
"fileProductName": "Microsoft Windows Operating System",
"signer": "Microsoft Windows",
"issuer": "Microsoft Windows Production PCA 2011",
"signerHash": "419e77aed546a1a6cf4dc23c1f977542fe289cf7",
"isValidCertificate": true
},
"EntityResult": {
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#microsoft.windowsDefenderATP.api.InOrgFileStats",
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"orgPrevalence": "1",
"orgFirstSeen": "2019-11-19T03:54:15Z",
"orgLastSeen": "2019-11-19T04:21:18Z",
"globalPrevalence": "5205000",
"globalFirstObserved": "2018-06-22T12:59:21.6460311Z",
"globalLastObserved": "2019-11-21T00:24:01.921338Z",
"topFileNames": ["notepad.exe"]
}
}
]
Entitätsanreicherung
IP und Host
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Defender_ATP.sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalPrevalence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalFirstObserved | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalLastObserved | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.size | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.fileType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.isPeFile | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.filePublisher | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.fileProductName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.signer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.issuer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.signerHash | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.isValidCertificate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgPrevalence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgFirstSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgLastSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.topFileNames | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Datei-Hash
| Name des Anreicherungsfelds | Logik – Wann anwenden? |
|---|---|
| Defender_ATP.sha1 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.sha256 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.md5 | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalPrevalence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalFirstObserved | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.globalLastObserved | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.size | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.fileType | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.isPeFile | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.filePublisher | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.fileProductName | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.signer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.issuer | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.signerHash | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.isValidCertificate | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgPrevalence | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgFirstSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.orgLastSeen | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
| Defender_ATP.topFileNames | Gibt zurück, ob es im JSON-Ergebnis vorhanden ist |
Benachrichtigungen auflisten
Listet Microsoft Defender for Endpoint-Benachrichtigungen basierend auf den angegebenen Suchkriterien auf. Die Aktion gibt Informationen zu gefundenen Benachrichtigungen in Tabellen- und JSON-Ansichtsform als Aktionsausgabe zurück, zusammen mit Rohdaten zu Benachrichtigungen, die in der JSON-Datei der Aktionsausgabe gespeichert und angehängt werden.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Zeitraum | Ganzzahl | 3 | Nein | Geben Sie einen Zeitraum in Stunden an, für den Benachrichtigungen abgerufen werden sollen. |
| Status | String | Unbekannt, Neu, In Bearbeitung, Gelöst | Nein | Geben Sie die Status der Benachrichtigungen an, nach denen gesucht werden soll. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. |
| Schweregrad | String | – | Nein | Geben Sie den Schweregrad der Vorfälle an, nach denen gesucht werden soll. Wenn nicht angegeben, sucht die Aktion nach allen Schweregraden. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Mögliche Werte: UnSpecified, Informational, Low, Medium und High |
| Kategorie | String | – | Nein | Geben Sie die Benachrichtigungskategorie an, nach der gesucht werden soll. Wenn nicht angegeben, werden alle Kategorien berücksichtigt. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Mögliche Werte: „Collection“, „CommandAndControl“, „CredentialAccess“, „DefenseEvasion“, „Discovery“, „Execution“, „Exfiltration“, „Exploit“, „InitialAccess“, „LateralMovement“, „Malware“, „Persistence“, „PrivilegeEscalation“, „Ransomware“, „SuspiciousActivity“, „UnwantedSoftware“. |
| Vorfall-ID | Ganzzahl | – | Nein | Geben Sie die Microsoft Defender-Vorfall-ID an, für die Sie zugehörige Benachrichtigungen suchen möchten. |
Anwendungsfälle
Mit der Aktion können Defender ATP-Warnungen für einen Endnutzer auf dem Google SecOps-Server geprüft werden. Wenn der Nutzer beispielsweise die Warnung des Defender ATP-Connectors bearbeitet, konfiguriert er die Aktion „Warnungen auflisten“ so, dass die verarbeitete Alert-IncidentId als Eingabeparameter akzeptiert wird, um Details vom Defender ATP-Server abzurufen. Es gibt keine anderen Warnungen, die Teil eines einzelnen Defender ATP-Vorfalls sind.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": null,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "Unexpected behavior observed by a process run with no command line arguments",
"description": "The legitimate process by this name does not normally exhibit this behavior when run with no command line arguments. \nSuch unexpected behavior may be a result of extraneous code injected into a legitimate process, or a malicious executable masquerading as the legitimate one by name.",
"alertCreationTime": "2019-11-19T03:56:35.3007009Z",
"firstEventTime": "2019-11-19T03:54:16.0441057Z",
"lastEventTime": "2019-11-19T03:54:16.0441057Z",
"lastUpdateTime": "2019-11-19T03:56:38.45Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": null,
"comments": [],
"alertFiles": [],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Benachrichtigung ändern
Aktualisieren Sie eine bestimmte Microsoft Defender for Endpoint-Warnung. Mit der Aktion kann eine Warnung in Microsoft Defender for Endpoint geschlossen werden.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Benachrichtigungs-ID | String | – | Ja | Geben Sie die Microsoft Defender for Endpoint-Warnungs-ID an, die aktualisiert werden soll. |
| Status | DDL | Neu Mögliche Werte:
|
Nein | Geben Sie den Status der Benachrichtigung an, auf den aktualisiert werden soll. |
| Zugewiesen an | String | – | Nein | Geben Sie die Nutzerinformationen an, wenn Sie dieses Feld aktualisieren möchten. |
| Klassifizierung | DDL | Unbekannt Mögliche Werte:
|
Nein | Geben Sie die Klassifizierung an, mit der die Benachrichtigung aktualisiert werden soll. |
| Festlegung | DDL | NotAvailable Mögliche Werte:
|
Nein | Geben Sie die Entscheidung an, mit der die Benachrichtigung aktualisiert werden soll. |
Anwendungsfälle
Verwenden Sie die Aktion, um eine Defender ATP-Warnung zu aktualisieren.
Mit der Aktion können Sie in einen Workflow eingreifen, der die Analyse von Defender ATP-Warnungen umfasst.
Nachdem die Benachrichtigung in Google SecOps verarbeitet wurde, können Sie die Defender ATP-Benachrichtigung ignorieren, damit die Benachrichtigungslisten von Defender ATP und Google SecOps übereinstimmen. Außerdem können Sie die Benachrichtigung so ändern, dass der Fortschritt der Benachrichtigungsanalyse angezeigt wird. Dazu können Sie beispielsweise das Attribut
assignedTofestlegen oder den Benachrichtigungsstatus aufinProgresssetzen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts/$entity",
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": null,
"severity": "Informational",
"status": "Resolved",
"classification": null,
"determination": null,
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.6066667Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "example-domain"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
Maschinen auflisten
Informationen zu Computern abrufen, die beim Microsoft Defender for Endpoint-Server registriert sind, basierend auf den für die Suche angegebenen Parametern.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Zeitraum „Zuletzt gesehen“ | Ganzzahl | – | Nein | Geben Sie den Zeitraum an, in dem das Gerät zuletzt gesehen wurde. |
| Name der Maschine | String | – | Nein | Geben Sie den vollständigen Namen des Computers an, nach dem gesucht werden soll. |
| IP-Adresse des Computers | String | – | Nein | Geben Sie die IP-Adresse des Computers an, nach dem gesucht werden soll. |
| Risikobewertung für Geräte | String | Keine, Niedrig, Mittel, Hoch | Nein | Geben Sie den Maschinenrisiko-Score an, nach dem gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Maschinenzustand | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Nein | Geben Sie den Status der Systemdiagnose an, nach dem gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Betriebssystemplattform des Geräts | String | – | Nein | Geben Sie die Betriebssystemplattform der Maschine an, nach der gesucht werden soll. |
| RBAC-Gruppen-ID | String | – | Nein | Geben Sie die RBAC-Gruppen-ID an, nach der gesucht werden soll. |
Anwendungsfälle
Die Aktion kann zu Untersuchungszwecken verwendet werden, um Informationen zu Geräten abzurufen, die auf dem Defender ATP-Server registriert sind. Diese Aktion wird hauptsächlich als manuelle Aktion verwendet, damit der Nutzer nicht zur Defender ATP-Konsole zurückkehren und nachsehen muss, auf welchen Computern der Defender ATP-Agent ausgeführt wird.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T09:59:28.0646303Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.138",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
},{
"id": "example-id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-20T08:36:16.2721384Z",
"lastSeen": "2019-11-20T08:36:52.7182837Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.141",
"lastExternalIpAddress": "203.0.113.35",
"agentVersion": "10.4850.17134.191",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "None",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Maschinenprotokoll für Nutzer abrufen
Informationen zur Anmeldung eines Nutzers auf einem bestimmten Computer abrufen.
Parameter
–
Anwendungsfälle
Die Aktion kann zu Untersuchungszwecken verwendet werden, um bestimmte Details dazu zu erhalten, welche Benutzer sich auf einem betreffenden Computer vom Defender ATP-Server aus anmelden.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Users",
"value": [
{
"id": "example\\example.user",
"accountName": "example.user",
"accountDomain": "example",
"accountSid": null,
"firstSeen": "2019-11-19T03:50:36Z",
"lastSeen": "2019-11-19T03:50:36Z",
"mostPrevalentMachineId": null,
"leastPrevalentMachineId": null,
"logonTypes": "Interactive",
"logOnMachinesCount": 1,
"isDomainAdmin": false,
"isOnlyNetworkUser": null
}
]
}
Maschinenbezogene Warnungen erhalten
Benachrichtigungen zu bestimmten Computern erhalten, die in Defender ATP registriert sind.
Parameter
| Parameter | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Status | String | Unbekannt, Neu, In Bearbeitung, Gelöst | Nein | Geben Sie die Status der Benachrichtigungen an, nach denen gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Schweregrad | String | UnSpecified, Informational, Low, Medium, High | Nein | Geben Sie die Schweregrade der Vorfälle an, nach denen gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Kategorie | String | – | Nein | Geben Sie die Benachrichtigungskategorie an, nach der gesucht werden soll. Wenn nicht angegeben, sucht die Aktion nach allen Kategorien. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Mögliche Werte: „Collection“, „CommandAndControl“, „CredentialAccess“, „DefenseEvasion“, „Discovery“, „Execution“, „Exfiltration“, „Exploit“, „InitialAccess“, „LateralMovement“, „Malware“, „Persistence“, „PrivilegeEscalation“, „Ransomware“, „SuspiciousActivity“, „UnwantedSoftware“. |
| Vorfall-ID | Ganzzahl | – | Nein | Geben Sie die Microsoft Defender-Vorfall-ID an, für die Sie zugehörige Benachrichtigungen suchen möchten. |
Anwendungsfälle
Die Aktion kann zu Untersuchungszwecken verwendet werden, um Warnungen zu einem bestimmten Computer vom Defender ATP-Server zu erhalten.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example-id",
"incidentId": 1,
"investigationId": null,
"assignedTo": "testuser@example.com",
"severity": "Informational",
"status": "Resolved",
"classification": "FalsePositive",
"determination": "SecurityTesting",
"investigationState": "UnsupportedAlertType",
"detectionSource": "WindowsDefenderAtp",
"category": "Execution",
"threatFamilyName": null,
"title": "[Test Alert] Suspicious Powershell commandline",
"description": "*** This is a test alert ***\nA suspicious Powershell commandline was found on the machine. This commandline might be used during installation, exploration, or in some cases with lateral movement activities which are used by attackers to invoke modules, download external payloads, and get more information about the system. Attackers usually use Powershell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"alertCreationTime": "2019-11-18T11:17:48.287421Z",
"firstEventTime": "2019-11-18T11:15:06.5226815Z",
"lastEventTime": "2019-11-18T11:15:06.5226815Z",
"lastUpdateTime": "2019-11-20T04:12:03.91Z",
"resolvedTime": "2019-11-20T04:12:03.4976288Z",
"machineId": "machine-id",
"alertUser": {
"accountName": "Administrator",
"domainName": "US-LT-V13007"
},
"comments": [],
"alertFiles": [
{
"sha1": "3ce71813199abae99348f61f0caa34e2574f831c",
"sha256": "9a7c58bd98d70631aa1473f7b57b426db367d72429a5455b433a05ee251f3236",
"filePath": "C:\\Windows\\System32\\cmd.exe",
"fileName": "cmd.exe"
},
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Maschine isolieren
Isolieren Sie einen Computer mit Microsoft Defender for Endpoint. Die Maschine kann unter vollständiger oder selektiver Isolation betrieben werden. Outlook-, Skype for Business- und Teams-Anwendungen funktionieren weiterhin auf einem isolierten Computer.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Isolationstyp | DDL | Vollständig Mögliche Werte:
|
Ja | Geben Sie den Isolationstyp an. |
| Kommentar | String | – | Ja | Geben Sie einen Kommentar an, warum die Maschine isoliert werden muss. |
| Insight erstellen? | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird bei erfolgreicher Ausführung der Aktion ein Google SecOps-Insight mit entsprechenden Informationen erstellt. |
Anwendungsfälle
Isolieren Sie einen Computer, der als infiziert gilt. Beispiel: Die Benachrichtigung des Defender ATP-Connectors wurde auf dem Google SecOps-Server erfasst. Bei der Analyse der Benachrichtigung wurde festgestellt, dass der mit der Benachrichtigung verknüpfte Computer (Case-Entität) infiziert sein kann und isoliert werden muss.
Ausführen am
Diese Aktion wird für die folgenden Aktionen ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
„True“, wenn der für jede bereitgestellte Einheit zurückgegebene API-Endpunkt, für die er ausgeführt wurde, Status 201 zurückgegeben hat, im JSON-Antwort „status“: „Pending“ (Ausstehend), was darauf hinweist, dass die API-Anfrage erfolgreich ausgeführt wurde. Wenn die Aktion für mindestens eine der Entitäten fehlschlägt, sollte das Endergebnis „Fehler“ (False) sein.
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Isolate",
"requestor": "requestor-id",
"requestorComment": "Machine Isolation due to alert ...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:55:59.5419077Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Statistiken
- Insight-Logik:Wenn der Computer mit dem Defender ATP-Agent isoliert wurde, erstellen Sie einen Insight, um dies anzugeben.
- Typ:Entität.
- Titel (String)-Entität.
- IdentifierMessage: „Der Host wurde mit Microsoft Defender for Endpoint isoliert.“
Unisolate Machine
Aufheben der Isolierung eines Computers, der zuvor mit Microsoft Defender for Endpoint isoliert wurde.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Kommentar | String | – | Ja | Geben Sie einen Kommentar an, warum die Maschine nicht mehr isoliert sein muss. |
| Insight erstellen? | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird bei erfolgreicher Ausführung der Aktion ein Google SecOps-Insight mit entsprechenden Informationen erstellt. |
Anwendungsfälle
Die Aktion kann in Situationen verwendet werden, in denen der Computer bereits isoliert wurde. Mit den neuen Daten, die während der Playbook-Verarbeitung erfasst wurden (z. B. wurde der erste Computer isoliert, dann haben wir einen Threat-Indikator für eine verdächtige Datei erstellt und die Aktion „Stop and Quarantine“ (Beenden und unter Quarantäne stellen) ausgeführt, um diese Datei vom betroffenen Computer zu entfernen), können wir davon ausgehen, dass es sicher ist, die Isolation des betroffenen Computers aufzuheben.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
„True“, wenn der für jede bereitgestellte Einheit zurückgegebene API-Endpunkt, für die er ausgeführt wurde, Status 201 zurückgegeben hat, im JSON-Antwort „status“: „Pending“ (Ausstehend), was darauf hinweist, dass die API-Anfrage erfolgreich ausgeführt wurde. Wenn die Aktion für mindestens eine der Entitäten fehlschlägt, sollte das Endergebnis „Fehler“ (False) sein.
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "Unisolate",
"requestor": "requestor-id",
"requestorComment": "Unisolate machine due to the following remediation measures taken...",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"lastUpdateDateTimeUtc": "2019-11-21T03:59:34.7389352Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Statistiken
- Typ:Entität
- Titel-Entität.
- IdentifierMessage:Die Microsoft Defender for Endpoint-Isolierung wurde entfernt.
Antivirenscan ausführen
Starten Sie einen Virenscan auf einem Host mit Microsoft Defender for Endpoint. Es gibt zwei Arten von Defender ATP-Scans: vollständig oder schnell.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Antiviren-Scantyp | DDL | Vollständig Mögliche Werte:
|
Ja | Geben Sie an, ob auf dem Gerät ein vollständiger oder ein schneller Antivirenscan gestartet werden soll. |
| Kommentar | String | – | Ja | Geben Sie einen Kommentar an, warum ein Antivirenscan auf dem Computer ausgeführt werden muss. |
Anwendungsfälle
Über den Defender ATP-Connector wurde eine Benachrichtigung gesendet. Bei der Verarbeitung der Benachrichtigung wurden auf dem Computer, der mit der Google SecOps-Fallentität verknüpft ist, Hinweise auf Malware-Angriffe gefunden. Aus diesem Grund hat der Nutzer beschlossen, einen Antivirenscan auf dem Computer auszuführen, um Malware auf dem Host zu finden.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
„True“, wenn der für jede bereitgestellte Einheit zurückgegebene API-Endpunkt, für die er ausgeführt wurde, Status 201 zurückgegeben hat, im JSON-Antwort „status“: „Pending“ (Ausstehend), was darauf hinweist, dass die API-Anfrage erfolgreich ausgeführt wurde. Wenn die Aktion für mindestens eine der Entitäten fehlschlägt, sollte das Endergebnis „Fehler“ (False) sein.
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "RunAntiVirusScan",
"requestor": "requestor_id",
"requestorComment": "Run antivirus scan on suspect",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"lastUpdateDateTimeUtc": "2019-11-21T11:07:06.611628Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": null
}
Datei auf einem bestimmten Computer beenden und unter Quarantäne stellen
Die Ausführung einer Datei auf einem bestimmten Computer beenden und sie mit dem Microsoft Defender ATP-Agent unter Quarantäne stellen. Die Aktion funktioniert mit Google SecOps-Entitäten vom Typ „Host“ oder „IP“.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| SHA1-Dateihash für Quarantäne | String | – | Ja | Geben Sie den SHA-1-Datei-Hash der Datei an, die beendet und unter Quarantäne gestellt werden soll. Hinweis:Der SHA-1-Hash muss in Kleinbuchstaben angegeben werden, damit die Aktion eine übereinstimmende Datei finden kann. |
| Kommentar | String | – | Ja | Geben Sie einen Kommentar an, warum ein Antivirenscan auf dem Computer ausgeführt werden muss. |
| Insight erstellen? | Kästchen | Aktiviert | Wenn diese Option aktiviert ist, wird bei erfolgreicher Ausführung der Aktion ein Google SecOps-Insight mit entsprechenden Informationen erstellt. |
Anwendungsfälle
Während der Verarbeitung der Benachrichtigung, die vom Defender ATP-Connector stammt, kann die Aktion „Datei anhalten und unter Quarantäne stellen“ verwendet werden, um die Ausführung der betreffenden Datei zu blockieren und so eine Gefährdung des Computers zu verhindern. Diese Aktion kann durch die erweiterte Suche erforderlich werden. Der Nutzer findet möglicherweise einige potenziell schädliche Dateien, die er derzeit auf einem einzelnen Computer blockieren möchte.
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- Host
- IP-Adresse
Aktionsergebnisse
Scriptergebnis
Kann „True“ oder „False“ sein. „True“, wenn der für jede bereitgestellte Entität zurückgegebene API-Endpunkt, auf dem er ausgeführt wurde, Status 201 zurückgegeben hat, im JSON-Antwortfeld „status“: „Pending“ (Ausstehend), was darauf hinweist, dass die API-Anfrage erfolgreich ausgeführt wurde. Wenn die Aktion für mindestens eine der Einheiten fehlschlägt, sollte das Endergebnis „Fehler“ (False) sein.
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#MachineActions/$entity",
"id": "example-id",
"type": "StopAndQuarantineFile",
"requestor": "requestor-id",
"requestorComment": "Stopping and quarantining putty",
"status": "Pending",
"machineId": "machine-id",
"creationDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"lastUpdateDateTimeUtc": "2019-11-25T10:05:21.3641296Z",
"cancellationRequestor": null,
"cancellationComment": null,
"cancellationDateTimeUtc": null,
"errorHResult": 0,
"scope": null,
"relatedFileInfo": {
"fileIdentifier": "d932604ab8e9debe475415851fd26929a0c0dcd1",
"fileIdentifierType": "Sha1"
}
}
Statistiken
- Typ:Entität.
- Titel (String)-Entität.
- IdentifierMessage (String): „File with SHA-1 Filehash {0} was stopped and quarantined on {1}“. format (filehash,entity.Identifier).
Dateibezogene Benachrichtigungen erhalten
Ruft Warnungen zu einer Datei aus Microsoft Defender for Endpoint basierend auf dem Dateihash ab.
Parameter
| Parameter Display Value (Anzeigewert des Parameters) | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Status | String | Unbekannt, Neu, In Bearbeitung, Gelöst | Nein | Geben Sie die Status der Benachrichtigungen an, nach denen gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Schweregrad | String | UnSpecified, Informational, Low, Medium, High | NEIN | Geben Sie die Schweregrade der Vorfälle an, nach denen gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Kategorie | String | – | Nein | Geben Sie die Benachrichtigungskategorie an, nach der gesucht werden soll. Wenn nicht angegeben, sucht die Aktion nach allen Kategorien. Der Parameter akzeptiert mehrere Werte als durch Kommas getrennten String. Mögliche Werte: „Collection“, „CommandAndControl“, „CredentialAccess“, „DefenseEvasion“, „Discovery“, „Execution“, „Exfiltration“, „Exploit“, „InitialAccess“, „LateralMovement“, „Malware“, „Persistence“, „PrivilegeEscalation“, „Ransomware“, „SuspiciousActivity“, „UnwantedSoftware“. |
| Vorfall-ID | Ganzzahl | – | Nein | Geben Sie die Microsoft Defender-Vorfall-ID an, für die Sie zugehörige Benachrichtigungen suchen möchten. |
Anwendungsfälle
Bei der Untersuchung einer Benachrichtigung, die vom Defender ATP-Connector stammt, kann mit dieser Aktion ermittelt werden, ob die Datei mit Benachrichtigungen verknüpft ist, um herauszufinden, ob die Datei schädlich ist.
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Alerts",
"value": [
{
"id": "example_id",
"incidentId": 2,
"investigationId": 1,
"assignedTo": null,
"severity": "Medium",
"status": "New",
"classification": null,
"determination": null,
"investigationState": "TerminatedBySystem",
"detectionSource": "WindowsDefenderAtp",
"category": "DefenseEvasion",
"threatFamilyName": null,
"title": "Suspicious process injection observed",
"description": "A process abnormally injected code into another process, As a result, unexpected code may be running in the target process memory. Injection is often used to hide malicious code execution within a trusted process. \nAs a result, the target process may exhibit abnormal behaviors such as opening a listening port or connecting to a command and control server.",
"alertCreationTime": "2019-11-19T03:56:37.7335862Z",
"firstEventTime": "2019-11-19T03:54:15.7698362Z",
"lastEventTime": "2019-11-19T03:54:15.7698362Z",
"lastUpdateTime": "2019-11-20T10:13:31.7266667Z",
"resolvedTime": null,
"machineId": "machine-id",
"alertUser": {
"accountName": "example.user",
"domainName": "EXAMPLELAB"
},
"comments": [],
"alertFiles": [
{
"sha1": "1b3b40fbc889fd4c645cc12c85d0805ac36ba254",
"sha256": "d3f8fade829d2b7bd596c4504a6dae5c034e789b6a3defbe013bda7d14466677",
"filePath": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0\\powershell.exe",
"fileName": "powershell.exe"
},{
"sha1": "bdd0d38e113a0c7dd6213cf2e89e6cc6d66b5cdb",
"sha256": "328954033456d5c13e58fb5bcc6c0232f9f62cb6d9185afa51c7913338992491",
"filePath": "C:\\Windows\\System32\\notepad.exe",
"fileName": "notepad.exe"
}
],
"alertDomains": [],
"alertIps": [],
"alertProcesses": []
}
]
}
Zugehörige Geräte für eine Datei abrufen
Ruft anhand des Dateihashs Informationen zu Computern ab, die mit einer Datei aus Microsoft Defender for Endpoint in Verbindung stehen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Name der Maschine | String | – | Nein | Geben Sie den vollständigen Namen des Computers an, nach dem gesucht werden soll. |
| IP-Adresse des Computers | String | – | Nein | Geben Sie die IP-Adresse des Computers an, nach dem gesucht werden soll. |
| Risikobewertung für Geräte | String | – | Nein | Geben Sie den Maschinenrisiko-Score an, nach dem gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Maschinenzustand | String | Active, Inactive, ImpairedCommunication, NoSensorData, NoSensorDataImpairedCommunication | Nein | Geben Sie den Status der Systemdiagnose an, nach dem gesucht werden soll. Für den Parameter können mehrere Werte als durch Kommas getrennter String angegeben werden. |
| Betriebssystemplattform des Geräts | String | – | Nein | Geben Sie die Betriebssystemplattform der Maschine an, nach der gesucht werden soll. |
| RBAC-Gruppen-ID | String | – | Nein | Geben Sie die RBAC-Gruppen-ID an, nach der gesucht werden soll. |
Anwendungsfälle
Bei der Untersuchung einer Warnung, die vom Defender ATP-Connector stammt, kann mit dieser Aktion ermittelt werden, auf welchen Computern diese Datei in Defender ATP registriert wurde.
Ausführen am
Diese Aktion wird für die Filehash-Entität ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"@odata.context": "https://api.securitycenter.windows.com/api/$metadata#Machines",
"value": [
{
"id": "example_id",
"computerDnsName": "example-name",
"firstSeen": "2019-11-18T11:13:04.0588699Z",
"lastSeen": "2019-11-20T19:35:36.4619266Z",
"osPlatform": "Windows10",
"osVersion": null,
"osProcessor": "x64",
"version": "1803",
"lastIpAddress": "192.0.2.1",
"lastExternalIpAddress": "203.0.113.121",
"agentVersion": "10.4860.17134.982",
"osBuild": 17134,
"healthStatus": "Active",
"rbacGroupId": 0,
"rbacGroupName": null,
"riskScore": "High",
"exposureLevel": "Medium",
"aadDeviceId": null,
"machineTags": []
}
]
}
Erweiterte Suche ausführen
Führen Sie eine erweiterte Suchabfrage für Microsoft Defender for Endpoint aus. Anführungszeichen, Zeilenumbrüche oder andere Sonderzeichen müssen mit einem Escapezeichen versehen werden, z. B. mit einem Backslash für Anführungszeichen.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
| Abfrage | String | – | Ja | Die auszuführende erweiterte Suchabfrage. |
Anwendungsfälle
Der Benutzer kann Hunting-Abfragen haben, die er verwenden möchte, um Daten abzufragen, die während der Verarbeitung einer bestimmten Defender-Warnung in Defender ATP erfasst wurden. Mit dieser Aktion kann der Benutzer diese erweiterten Hunting-Abfragen ausführen.
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"Stats": {
"ExecutionTime": 0.0156652,
"resource_usage": {
"cache": {
"memory": {
"hits": 13,
"misses": 0,
"total": 13
},
"disk": {
"hits": 0,
"misses": 0,
"total": 0
}
},
"cpu": {
"user": "00:00:00.0156250",
"kernel": "00:00:00",
"total cpu": "00:00:00.0156250"
},
"memory": {
"peak_per_node": 33554624
}
},
"dataset_statistics": [
{
"table_row_count": 2,
"table_size": 60
}
]
},
"Schema": [
{
"Name": "EventTime",
"Type": "DateTime"
},
{
"Name": "FileName",
"Type": "String"
},
{
"Name": "InitiatingProcessFileName",
"Type": "String"
}
],
"Results": [
{
"EventTime": "2019-11-18T11:13:07.043128Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
},
{
"EventTime": "2019-11-19T03:54:14.4256361Z",
"FileName": "csc.exe",
"InitiatingProcessFileName": "powershell.exe"
}
]
}
Aufgabenstatus abwarten
Warten Sie auf den Status einer Aufgabe.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Aufgaben-IDs | String | – | Ja | Liste der Aufgaben-IDs als durch Kommas getrennter String. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Aktuellen Aufgabenstatus abrufen
Aktuellen Status einer Aufgabe abrufen
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Aufgaben-IDs | String | – | Ja | Liste der Aufgaben-IDs als durch Kommas getrennter String. |
Ausführen am
Diese Aktion wird für alle Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
[
{
"status": "Succeeded",
"creation_date_time_utc": "2020-02-08T03:24:52.8526634Z",
"cancellation_requestor": null,
"cancellation_date_time_utc": null,
"id": "2e39d22e-60a7-4267-899c-a1471e800000",
"last_update_date_time_utc": "2020-02-08T03:25:35.8345081Z",
"related_file_info": null,
"cancellation_comment": null,
"requestor": "e4fc6454-754d-47f7-bbdb-045fad600000",
"error_h_result": 0,
"scope": "Selective",
"machine_id": "fbc85cf3fbcc8bb14d1a84fcf7bbae4531f00000",
"type": "Isolate",
"requestor_comment": "test"
}
]
Entitätsindikatoren einreichen
Senden Sie Entitäten als Indikatoren in Microsoft Defender for Endpoint.
Parameter
| Parameteranzeige Name | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Aktion | DDL | Blockieren Mögliche Werte:
|
Ja | Geben Sie die Aktion an, die auf die Einheiten angewendet werden soll. Hinweis:Der Wert „Blockieren und beheben“ wird nur für die filehash-Entitäten unterstützt. |
| Schweregrad | DDL | Hoch Mögliche Werte:
|
Ja | Geben Sie den Schweregrad für die gefundenen Entitäten an. |
| Anwendung | String | – | Nein | Geben Sie eine Anwendung an, die sich auf die Entitäten bezieht. |
| Titel der Indikatorbenachrichtigung | String | – | Ja | Geben Sie den Titel für die Benachrichtigung an, falls sie in der Umgebung erkannt werden. |
| Beschreibung | String | Google SecOps Remediation | Ja | Geben Sie die Beschreibung für die Entitäten an. |
| Empfohlene Maßnahme | String | – | Nein | Geben Sie die empfohlenen Aktionen für die Verarbeitung der Einheiten an. |
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- URL
- Filehash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf eine Playbook-Ausführung nicht stoppen: Wenn Daten für eine Entität verfügbar sind (is_success = true): „Die folgenden Entitäten wurden erfolgreich als Indikatoren an Microsoft Defender for Endpoint gesendet: {entity.identifier}“. Wenn für eine Entität keine Daten verfügbar sind (is_success=true): „Die Aktion konnte die folgenden Entitäten nicht als Indikatoren an Microsoft Defender for Endpoint senden: {entity.identifier}“. Wenn der Statuscode 403 für eine Entität gemeldet wird: „Die Instanz hat nicht genügend Berechtigungen, um die folgenden Entitäten einzureichen: {entity.identifier} Wenn für alle Entitäten keine Daten verfügbar sind (is_success=false): „None of the provided entities were submitted as indicators to Microsoft Defender for Endpoint.“ (Keine der bereitgestellten Entitäten wurde als Indikator an Microsoft Defender for Endpoint gesendet.) Wenn eine Entität bereits ein Indikator ist: „Die folgenden Entitäten sind bereits Indikatoren in Microsoft Defender for Endpoint: {entity.identifier}“ Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Bei einem schwerwiegenden Fehler, z. B. falsche Anmeldedaten, keine Verbindung zum Server, andere: „Fehler beim Ausführen der Aktion ‚Submit Entity Indicators‘. Grund: {0}''.format(error.Stacktrace) Wenn der Statuscode 403 für alle Entitäten gemeldet wird: „Fehler beim Ausführen der Aktion ‚Submit Entity Indicators‘ (Entitätsindikatoren senden). Grund: Aufgrund von Instanzberechtigungen wurde keiner der Indikatoren erstellt. Bitte überprüfen Sie die Konfiguration.“ |
Allgemein |
Entitätsindikatoren löschen
Löschen von Entitätsindikatoren in Microsoft Defender for Endpoint
Parameter
–
Ausführen am
Diese Aktion wird für die folgenden Einheiten ausgeführt:
- IP-Adresse
- URL
- Filehash
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf eine Playbook-Ausführung nicht stoppen: Wenn der Statuscode 204 gemeldet wird (is_success=true): „Die folgenden Entitäten wurden erfolgreich als Indikatoren in Microsoft Defender for Endpoint gelöscht: {entity.identifier}. Wenn der Vorfall nicht gefunden wird (is_success=true): „Die folgenden Entitäten sind in Microsoft Defender for Endpoint nicht als Indikatoren vorhanden: {entity.identifier}. Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden: Wenn ein schwerwiegender Fehler gemeldet wird, z. B. falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler: „Fehler beim Ausführen der Aktion ‚Delete Entity Indicators‘ (Entitätsindikatoren löschen). Grund: {0}''.format(error.Stacktrace) |
Allgemein |
Indikatoren auflisten
Indikatoren in Microsoft Defender for Endpoint auflisten.
Parameter
| Anzeigename des Parameters | Typ | Standardwert | Pflichtfeld | Beschreibung |
|---|---|---|---|---|
| Indikatoren | CSV | – | Nein | Geben Sie eine durch Kommas getrennte Liste der Indikatoren an, die Sie abrufen möchten. |
| Arten von Indikatoren | CSV | FileSha1,FileSha256,FileMd5,CertificateThumbprint,IpAddress,DomainName, Url | Nein | Geben Sie eine durch Kommas getrennte Liste der Indikatortypen an, die Sie abrufen möchten. Mögliche Werte: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress,DomainName, Url. |
| Aktionen | CSV | Warnen,Blockieren,Überprüfen,Benachrichtigen,Benachrichtigen und blockieren,Blockieren und beheben,Zulassen | Nein | Geben Sie eine durch Kommas getrennte Liste der Indikatoraktionen an, die Sie zum Filtern verwenden möchten. Mögliche Werte: Warn,Block,Audit,Alert, AlertAndBlock,BlockAndRemediate,Allowed |
| Schweregrad | CSV | Informational,Low,Medium,High | Nein | Geben Sie eine durch Kommas getrennte Liste der Schweregrade an, die Sie zum Filtern verwenden möchten. Mögliche Werte: Informational,Low,Medium,High |
| Maximale Anzahl zurückzugebender Ergebnisse | Ganzzahl | 50 | Nein | Geben Sie die Anzahl der zurückzugebenden Indikatoren an. |
Ausführen am
Diese Aktion wird nicht für Elemente ausgeführt.
Aktionsergebnisse
Scriptergebnis
| Name des Scriptergebnisses | Wertoptionen | Beispiel |
|---|---|---|
| is_success | Wahr/falsch | is_success:False |
JSON-Ergebnis
{
"id": "18",
"indicatorValue": "110e7d15b011d7fac48f2bd61114db1022197f7a",
"indicatorType": "FileSha1",
"action": "Audit",
"createdBy": "45e9773c-100e-4a9f-ad37-d8e182e9ed26",
"severity": "Informational",
"category": 1,
"application": "demo-test",
"educateUrl": null,
"bypassDurationHours": null,
"title": "test",
"description": "test",
"recommendedActions": "nothing",
"creationTimeDateTimeUtc": "2022-02-08T14:20:34.9071582Z",
"expirationTime": null,
"lastUpdateTime": "2022-02-08T14:20:34.9151307Z",
"lastUpdatedBy": null,
"rbacGroupNames": [],
"rbacGroupIds": [],
"notificationId": null,
"notificationBody": null,
"version": null,
"mitreTechniques": [],
"historicalDetection": false,
"lookBackPeriod": null,
"generateAlert": true,
"additionalInfo": null,
"createdByDisplayName": "Example Defender ATP",
"externalId": null,
"createdBySource": "PublicApi",
"certificateInfo": null
}
Fall-Repository
| Ergebnistyp | Wert / Beschreibung | Typ |
|---|---|---|
| Ausgabemeldung* | Die Aktion darf nicht fehlschlagen und darf eine Playbook-Ausführung nicht stoppen: Wenn Daten verfügbar sind (is_success=true): „Successfully found indicators for the provided criteria in Microsoft Defender for Endpoint.“ (Es wurden erfolgreich Indikatoren für die angegebenen Kriterien in Microsoft Defender for Endpoint gefunden.) Wenn keine Daten verfügbar sind (is_success=false): „Für die angegebenen Kriterien wurden in Microsoft Defender for Endpoint keine Indikatoren gefunden.“ Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden: Wenn ein schwerwiegender Fehler wie falsche Anmeldedaten, keine Verbindung zum Server oder ein anderer Fehler gemeldet wird: „Fehler beim Ausführen der Aktion ‚List Indicators‘. Grund: {0}''.format(error.Stacktrace) Wenn ein ungültiger Parameter „Indicator types“ angegeben wird: „Error executing action ‚List Indicators‘“ (Fehler beim Ausführen der Aktion „List Indicators“). Grund: Ungültiger Wert für den Parameter „Indikatortypen“. Mögliche Werte: FileSha1, FileSha256, FileMd5, CertificateThumbprint, IpAddress, DomainName, Url. Wenn ein ungültiger „Actions“-Parameter angegeben wird: „Error executing action ‚List Indicators‘“ (Fehler beim Ausführen der Aktion „List Indicators“). Grund: Ungültiger Wert für den Parameter „Actions“. Mögliche Werte: „Warn“, „Block“, „Audit“, „Alert“, „AlertAndBlock“, „BlockAndRemediate“, „Allowed“. Wenn ein ungültiger „Severity“-Parameter angegeben wird: „Error executing action ‚List Indicators‘.“ Grund: Ungültiger Wert für den Parameter „Actions“. Mögliche Werte: „Informational“, „Low“, „Medium“, „High“. |
Allgemein |
| Tabelle „Fall-Repository“ | Gefundene Indikatoren Typ: indicatorType Aktion: action Schweregrad: severity Beschreibung: description Titel: title Empfehlung: recommendedActions |
Entität |
Connectors
Eine ausführliche Anleitung zum Konfigurieren eines Connectors in Google SecOps finden Sie unter Connector konfigurieren.
Verwenden Sie die connectorspezifischen Parameter in den folgenden Tabellen, um den ausgewählten Connector zu konfigurieren:
- Konfigurationsparameter für Microsoft Defender ATP-Connector
- Konfigurationsparameter für Microsoft Defender ATP Connector v2
Microsoft Defender ATP-Connector
Die Defender ATP SIEM API, die im Microsoft Defender ATP-Connector für Ereignisse verwendet wird, ist seit dem 1. März 2022 veraltet.
Der Connector stellt regelmäßig eine Verbindung zum Defender ATP-API-Endpunkt her und ruft eine Liste der für einen bestimmten Zeitraum generierten Benachrichtigungen ab. Für die verarbeiteten Benachrichtigungen ruft der Connector in einer separaten Anfrage die Informationen zu den erkannten Bedrohungen aus Defender ATP ab. Erkennungen haben ein AlertId-Feld, mit dem sie bestimmten Benachrichtigungen zugeordnet werden können.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | ProductName | Ja | Beschreibt den Namen des Felds, in dem der Produktname gespeichert ist. |
| Name des Ereignisfelds | String | AlertName | Ja | Beschreibt den Namen des Felds, in dem der Ereignisname gespeichert ist. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung „“. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert ist „.*“, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Ermöglicht dem Nutzer, das Feld „environment“ (Umgebung) mit der Logik für reguläre Ausdrücke zu bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis „“. |
| API-Stamm | String | https://api.securitycenter.windows.com | Ja | API-Stamm-URL, die für die Integration verwendet werden soll. Für eine bessere Leistung können Sie einen Server in Ihrer Nähe verwenden:
|
| Azure Active Directory-ID | String | – | Ja | Die Microsoft Entra-Mandanten-ID finden Sie unter „Active Directory“ > „App-Registrierung“ > „Ihre Anwendung“ > „Verzeichnis-ID (Mandant)“. |
| Client-ID der Integration | String | – | Ja | Die Client-ID (Anwendungs-ID), die für die App-Registrierung in Microsoft Entra für die Integration hinzugefügt wird. |
| Clientschlüssel der Integration | Passwort | – | Ja | Geheimer Schlüssel, der für die Azure AD-App-Registrierung für die Integration eingegeben wird. |
| SIEM-Client-ID | String | – | Ja | Client-ID (Anwendungs-ID) für die aktivierte SIEM-Integration in Microsoft Defender for Endpoint. |
| SIEM-Clientschlüssel | Passwort | – | Ja | Secret für die aktivierte SIEM-Integration in Microsoft Defender for Endpoint. |
| Zeitverschiebung in Stunden | Ganzzahl | 24 | Ja | Rufe Benachrichtigungen ab, die bis zu X Stunden zurückliegen. |
| Maximale Anzahl an Benachrichtigungen pro Zyklus | Ganzzahl | 100 | Ja | Anzahl der Benachrichtigungen, die während eines Connector-Laufs verarbeitet werden. |
| Abzurufende Benachrichtigungsstatus | String | Unbekannt, Neu, In Bearbeitung, Gelöst | Ja | Geben Sie die Status der Defender ATP-Benachrichtigungen an, die vom Google SecOps-Server abgerufen werden sollen. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
| Abzurufende Schweregrade von Benachrichtigungen | String | UnSpecified, Informational, Low, Medium, High | Ja | Geben Sie die Schweregrade der Defender ATP-Benachrichtigungen an, die vom Google SecOps-Server abgerufen werden sollen. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
| Proxyserveradresse | IP_OR_HOST | – | Nein | Proxyserver für die Verbindung. |
| Proxyserver-Nutzername | String | – | Nein | Nutzername für den Proxyserver. |
| Proxyserver-Passwort | Passwort | – | Nein | Passwort für den Proxyserver. |
Connector-Regeln
Der Connector unterstützt keine Regeln für Blocklisten oder dynamische Listen.
Der Connector unterstützt Proxys.
Microsoft Defender ATP Connector V2
Rufen Sie die Defender ATP-Benachrichtigungen mit der 365 Defender-Vorfalls-API ab, um die Ereignisdaten zu erhalten. Mit der dynamischen Liste des Connectors können Sie nur bestimmte Arten von Benachrichtigungen basierend auf dem Attributwert detectionSource der Benachrichtigung erfassen.
Mit dem Attribut „Connector“ SourceGroupIdentifier können Sie Benachrichtigungen anhand der Defender ATP-Vorfalls-ID gruppieren.
Vorbereitung
Bevor Sie den Connector konfigurieren, müssen Sie Ihrer Microsoft Entra-Anwendung zusätzliche Berechtigungen erteilen:
Melden Sie sich im Azure-Portal als Nutzeradministrator oder Passwortadministrator an.
Wählen Sie Microsoft Entra ID aus.
Gehen Sie zu API-Berechtigungen> „Berechtigung hinzufügen“ > „Von meiner Organisation verwendete APIs“.
Wählen Sie Microsoft Threat Protection > Anwendungsberechtigungen aus.
Wählen Sie im Bereich Berechtigungen auswählen die folgenden erforderlichen Berechtigungen aus:
Incident.Read.AllIncident.ReadWrite.All
Klicken Sie auf Berechtigungen hinzufügen.
Klicken Sie auf Einwilligung des Administrators für
YOUR_ORGANIZATION_NAMEerteilen.
Connector-Parameter
Verwenden Sie die folgenden Parameter, um den Connector zu konfigurieren:
| Anzeigename des Parameters | Typ | Standardwert | Ist obligatorisch | Beschreibung |
|---|---|---|---|---|
| Produktfeldname | String | :: | Ja | Beschreibt den Namen des Felds, in dem der Produktname gespeichert ist. |
| Name des Ereignisfelds | String | EventName | Ja | Beschreibt den Namen des Felds, in dem der Ereignisname gespeichert ist. |
| Name des Umgebungsfelds | String | "" | Nein | Beschreibt den Namen des Felds, in dem der Umgebungsname gespeichert ist. Wenn das Feld „environment“ nicht gefunden wird, ist die Umgebung „“. |
| Regex-Muster für Umgebung | String | .* | Nein | Ein reguläres Ausdrucksmuster, das auf den Wert im Feld Der Standardwert ist „.*“, um alle Werte zu erfassen und den Wert unverändert zurückzugeben. Ermöglicht dem Nutzer, das Feld „environment“ (Umgebung) mit der Logik für reguläre Ausdrücke zu bearbeiten. Wenn das Muster des regulären Ausdrucks null oder leer ist oder der Umgebungswert null ist, ist das endgültige Umgebungsergebnis „“. |
| Defender ATP API-Stamm | String | https://api.securitycenter.windows.com | Ja | API-Stamm-URL für die Integration Für eine bessere Leistung können Sie einen Server in Ihrer Nähe verwenden:
|
| 365 Defender API-Stamm | String | https://api.security.microsoft.com | Ja | API-Stamm der Microsoft 365 Defender-Instanz, die zum Abrufen der Google SecOps-Ereignisdaten verwendet wird. |
| Azure Active Directory-ID | String | – | Ja | Die Microsoft Entra-Mandanten-ID finden Sie unter „Microsoft Entra“ > „App-Registrierung“ > „Ihre Anwendung“ > „Verzeichnis-ID (Mandant)“. |
| Client-ID der Integration | String | – | Ja | Client-ID (Anwendungs-ID), die für die App-Registrierung in Microsoft Entra für die Integration hinzugefügt wird. |
| Clientschlüssel der Integration | Passwort | – | Ja | Geheimer Schlüssel, der für die Azure AD-App-Registrierung für die Integration eingegeben wird. |
| SSL überprüfen | Kästchen | Aktiviert | Ja | Wenn diese Option aktiviert ist, wird überprüft, ob das SSL-Zertifikat für die Verbindung zum Microsoft 365 Defender-Server gültig ist. |
| Zeitverschiebung in Stunden | Ganzzahl | 24 | Ja | Rufe Benachrichtigungen ab, die bis zu X Stunden zurückliegen. |
| Maximale Anzahl an Benachrichtigungen pro Zyklus | Ganzzahl | 10 | Ja | Anzahl der Benachrichtigungen, die während eines Connector-Laufs verarbeitet werden. |
| Abzurufende Benachrichtigungsstatus | String | Unbekannt, Neu, In Bearbeitung, Gelöst | Ja | Geben Sie die Status der Defender ATP-Benachrichtigungen an, die vom Google SecOps-Server abgerufen werden sollen. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
| Abzurufende Schweregrade von Benachrichtigungen | String | UnSpecified, Informational, Low, Medium, High | Ja | Geben Sie die Schweregrade der Defender ATP-Benachrichtigungen an, die vom Google SecOps-Server abgerufen werden sollen. Der Parameter kann mehrere Werte als durch Kommas getrennten String annehmen. |
| Überlauf deaktivieren | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird der Überlaufmechanismus vom Connector ignoriert. |
| Zeitlimit für Script | Ganzzahl | 300 | Ja | Geben Sie das Zeitlimit für die Ausführung des Connectors an. |
| Zulassungsliste als Sperrliste verwenden | Kästchen | Deaktiviert | Nein | Wenn diese Option aktiviert ist, wird die dynamische Liste als Blockierliste verwendet. |
| Proxyserveradresse | IP_OR_HOST | – | Nein | Proxyserver für die Verbindung. |
| Proxyserver-Nutzername | String | – | Nein | Nutzername für den Proxyserver. |
| Proxyserver-Passwort | Passwort | – | Nein | Passwort für den Proxyserver. |
Connector-Regeln
Der Connector unterstützt eine dynamische Listenlogik basierend auf dem Feldwert detectionSource für Defender ATP-Benachrichtigungen.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten